sign live! cc - die signaturanwendungskomponente von intarsys
DESCRIPTION
Elektronische Signaturen ermöglichen Ihnen durchgängige, medienbruchfreie Geschäftsprozesse. Sign Live! CC ist ein Produkt, welches Sie auf sehr komfortable Art und Weise elektronische Signaturen schnell und einfach in Ihre Geschäftsprozesse integrieren lässt. Ihre Anforderungen bestimmen dabei, welche Variante von Sign Live! CC zum Einsatz kommt. Bearbeiten, signieren und verschlüsseln Sie Ihre Dokumente mit einer Anwendung. Mit Sign Live! CC erstellte qualifizierte Signaturen machen Ihre Dateien zu rechtsgültigen elektronischen Dokumenten. Mit Sign Live! CC erstellt und prüft der Anwender qualifizierte und fortgeschrittene Signaturen in allen international standardisierten Signaturverfahren auf den gängigen Betriebssystemen. Die auf Basis des zertifizierten Kern entwickelte Signaturanwendungskomponente (SAK) enthält einen vollwertigen PDF-Client zum Ausfüllen und Signieren von PDF-Formularen und PDF-Dokumenten. Sign Live! CC erzeugt Signaturen gemäß PDF- und PDF/A-Spezifikation und berücksichtigt die Rechtevergabe bei der Verwendung von Mehrfachsignaturen in einem PDF-Dokument (Zertifizierungssignatur). Sign Live! CC erstellt qualifizierte oder fortgeschrittene elektronische Signaturen mit oder ohne Zeitstempel und prüft vorhandene Signaturen/Zeitstempel auf ihre Gültigkeit einschließlich OCSP- und Sperrlistenabfrage. Bei Bedarf erstellt Sign Live! CC ein für die Langzeitarchivierung geeignetes Prüfprotokoll (GDPdU-konform) im PDF/A-Format. Sign Live! CC unterstützt die Verschlüsselung beliebiger Dateien mit unterschiedlichen Verschlüsselungsverfahren und Schlüssellängen (40 bis 128 bit) und zusätzlich die zertifikatsbasierte Verschlüsselung mit Smartcard. Sign Live! CC bietet über konfigurierbare Dienste für Dateiüberwachung, virtuelle PDF-Druckeranbindung und direkte Aufrufmöglichkeiten über Webserviceschnittstellen (HTTP/SOAP) den Anschluss an nahezu jede Textverarbeitung, ERP- und Finanzsoftware Ihrer IT-Umgebung. Sign Live! CC ist auf allen gängigen Betriebssystemplattformen (XP, W7 (32-/64-bit), Linux, Mac OS X) lauffähig und verfügt über Minidriver, CSP, PKCS#11 und TokenD-Integration für den problemlosen Einsatz der Signaturfunktion und Authentisierung in Standardkomponenten wie Internet Explorer, Firefox, Thunderbird, Apple Mail, usw. Die Basiskomponenten von Sign Live! CC sind nach dem Sicherheitsstandard für Software-Produkte Common Criteria EAL 3+ zertifiziert und vom deutschen Bundesamt für Sicherheit in der Informationstechnik bestätigt. Damit sind Ihre elektronischen Signaturen absolut sicher und rechtsverbindlich. Führende Anbieter von Zertifizierungsdiensten in Deutschland, aber auch in der Schweiz (Swisscom, QuoVadis) und Österreich (A-Trust), empfehlen Sign Live! CC als Signaturprodukt.TRANSCRIPT
Signaturanwendungskomponente (SAK) Sign Live! CC
Leistungsumfang der Produktfamilie
© 2014 intarsys consulting GmbH
Inhaltsangabe
Signaturanwendungskomponente Sign Live! CC
Funktionen und Einsatzmöglichkeiten
Integration und Referenzen
Nutzen und Alleinstellungsmerkmale
2
© 2014 intarsys consulting GmbH
Zertifizierung für maximale Sicherheit
Zertifizierung nach dem internationalen Sicherheitsstandard Common Criteria EAL 3+
Vertrauenswürdigkeit von Signaturen ist von staatlicher Seite bestätigt
Signaturen sind konform zu Signaturgesetz und Signaturverordnung (SigG/SigV), Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES)
Signatursoftware genügt handel- und steuerrechtlichen Vorschriften (UstG, GdPDU, GoBS, GeBüV, ElDI-V) für eInvoicing
Signatursoftware erfüllt internationale Standards für elektronische Signaturen, Verschlüsselung, Zeitstempel und Public-Key-Infrastrukturen
Integrierte Zertifikats- und Sperrlistenverwaltung
3
© 2014 intarsys consulting GmbH
Produktportfolio: Signaturanwendungen (SAK)
4
Zentrale E-Mail Sicherheit
Signieren nach TR RESISCAN
Online-Unterschrift im Web-Browser
Erzeugung und Prüfung qualifizierter und
fortgeschrittener elektronischer Signaturen und
Zeitstempel gemäß SigG/SigV und EU-Richtlinie
BSI zertifiziert nach CC EAL3+ und gelistet bei der
BNetzA
Zertifikatsverwaltung
Nachsignatur
Signature - Server
Zeitstempelserver
CRL - Server
Validation - Server
© 2014 intarsys consulting GmbH
Leistungsmerkmale Sign Live! CC (1)
Dokumente/Dateien fortgeschritten/qualifiziert signieren
Einzelsignatur, Stapel-/Komfortsignatur und Massensignatur
Persönliche Signatur, Zertifikatssignatur, Vollmachtsignatur (Hash), Mehrfachsignatur
Signaturarten
PAdES - PDF-,PDF/A-Signatur eingebettet (PKCS#7) sichtbar und unsichtbar
CAdES - PKCS#7 eingebettet und abgesetzt
XAdES - XML-Signatur und XAdES-T (XML-Signatur mit Zeitstempel)
XML-DSig (Deutsche XML Signatur gem. BMU)
PKCS#1 (RSA Verschlüsselung)
Kryptographie
RSA - bis 4096 Bit (SHA-2)
ECDSA - Elliptic curve
Unterstützung von Attributzertifikaten für Signaturen
Einbettung qualifizierter Zeitstempel (akkreditierte Trust Center)
5
© 2014 intarsys consulting GmbH
Leistungsmerkmale Sign Live! CC (2)
Unterstützt werden alle Signaturkarten der Trust Center in D-A-CH, sowie zertifizierte Kartenleser (II/III) für QES und andere (I)
Erzeugung der elektronischen Signatur mittels neuem Personalausweis (nPA) und SuisseID einschließlich Verifikation
PIN-Management: Initialisierung, PIN-Änderung / Zurücksetzung (PUK)
Signaturvalidierung für Einzeldokument oder im Stapel-/Massenverfahren
Signaturverifikation mit Hilfe von Sperrlisten und OCSP-Anfragen
plattformunabhängiges integriertes Zertifikats- und CRL-Management
Identitätsvalidierung, Zertifikatsvalidierung, QeS Validierung
PDF/A-Prüfprotokoll konform zu GDPdU/GObS /GeBüv
E-Mailverschlüsselung und sichere Authentisierung über Standardschnittstellen (PKCS#11, Minidriver, TokenD) für IE, Firefox, Thunderbird, Chrome, Safari, Apple Mail, usw.
Druckerschnittstelle für virtuellen PDF-Printer
6
© 2014 intarsys consulting GmbH
Sign Live! Signaturgeräte/Signaturpool
7
signIT smartcard CC
Signaturkarten
Auszug
signIT easy
Fortgeschrittene Softzertifikate
signIT tablet
Biometrische Unterschrift
Be
son
de
re S
ign
atu
rka
rte
n
Allg
em
ein
e S
ign
atu
rka
rte
n
signIT JAVA-CARD
Fortgeschrittene Zertifikate
signIT HSM
Qualifizierte und Fortgeschrittene
Zertifikate
signIT NET
Signaturdienst
signIT PKCS#11
Fortgeschrittene Zertifikate
RFID
© 2014 intarsys consulting GmbH
Integrationsmöglichkeiten
8
Scriptkonsole
Dienstkonsole
Konfiguration
Timestamp Interface
SigntrustNET Interface
PKCS#11 Interface
Smartcard Interface
PDF, PDF/A, TXT, XML,
sonstige Dateien
C:\
Sign Live! CC sign & validation
Signaturformate: PDF u. PDF/A-Signatur (PAdES) PKCS#7-Signatur (CAdES) XML-Signatur (XML-DSig/ XAdES), eANV-XML-Signatur Zeitstempel (RFC 3161)
Signieren, Validieren Zeitstempeln Ver-/Entschlüsseln
IN OUT
Massensignatur
Stapel-/Komfort- signatur
Einzelsignatur
SHA-2 RSA - 4096 Bit Elliptic Curve
Applikation ActiveX, HTTP, XMLRPC, SOAP, TN3270, JDBC, P9100, MAPI, POP3, SMTP, Java/JavaScript
Windows Service
Command Interface
PKCS#11, Minidriver
Java API
© 2014 intarsys consulting GmbH
Sign Live! CC signature client
Vollwertiger PDF-Client für Signatur und Verschlüsselung
PDF-Unterschrifterstellung per Mausklick mit Signaturwizard und individuelle Gestaltungsmöglichkeit der Signaturfelddarstellung
Nur sichtbare Daten werden signiert
Trusted Viewer für vertrauenswürdige Anzeige (PDF, TXT, TIFF)
Trusted Mode (Integritätsprüfung - lokal)
Installation Verifier (Integritätsprüfung - via Web)
Zugriffsrechte (PDF) und Verschlüsselungsalgorithmen
Kennwort-, Zertifikatsverschlüsselung (wahlweise mit Smartcard), Dokumentzertifizierung
Unterstützung von Signaturpools
Druckerschnittstelle für virtuellen PDF-Printer
E-Mail-Versand von Dokumenten und/oder Formulardaten im XFDF-/FDF-Format
9
© 2014 intarsys consulting GmbH
Sign Live! CC Einsatzvarianten vom Client zum Browser
10
Se
rve
r A
rbe
itsp
latz
Client - Signatur Server - Signatur Web - Signatur
Browser
Sign Live! CC client
Sign Live! CC signature server
Sign Live! CC cloud suite
Client components
Vollmacht - Signatur
Sign Live! CC client
Sign Live! CC cloud suite
Server components
Signatur-Rack und Zeitstempel
sdlfkjds94757427543dsfsf3#2§8
HASH
© 2014 intarsys consulting GmbH
Sign Live! CC signature client CoSIMA Komfort
Signaturlösung für elektronische Arztbriefe, Befunde, Laborberichte durch Komfortsignatur nach BSI-TR03115 mit automatischer Übermittlung an KV-CONNECT und sicherem Versand
Einfache Implementierung im Primärsystem (KIS, PVS, RIS, u.v.m.) wahlweise über File Monitor System, PDF-Drucker, HTTP oder SOAP
Flexibel bei der Auswahl der Zertifikatsträger (eHBA, ZOD, Signaturkarte)
11
Sign Live! CC signature client CoSIMA Komfort • Beliebig viele Dokumente gleichzeitig unterschreiben ... • mit einer Komfortsignatur (qeS) entsprechend dem
Signaturgesetz (SigG/SigV) … • und automatisch per E-Mail versenden.
KV-CONNECT • sichere Kommunikation
PVS
Ärzte
Kassenärztliche Vereinigungen, Institute, Verbände, Krankenhäuser, …
Fachgruppen
© 2014 intarsys consulting GmbH
Sign Live! CC scan support
“Ersetzendes Scannen” - Signieren mit Stichprobenprüfung (SGB, SvRv) entspricht der Integritätssicherung gemäß TR-RESISCAN (BSI-TR-03138)
Übersichtlicher Prozessablauf durch „Ein-Klick-Stichprobenprüfung“
Flexibel bei der Auswahl der Zertifikatsträger (Signaturkarte, -dienst, HSM, eToken, … )
Max. Leistung bei Signaturkarten mit ECC bis max. 19.000 Sig/h
Schutz vor unbemerkter Manipulation der Dokumentenakte
12
© TR RESISCAN: Ausschnitt aus „der generische Scanprozess“
Umwandeln nach PDF
Nachverarbeitung Integritätssicherung
OCR-Daten einbetten & PDF/A erzeugen
Stichprobe prüfen Signatur erstellen Signatur validieren Beweiswert erhaltende
Aufbewahrung
© 2014 intarsys consulting GmbH
Sign Live! CC server …
Signaturserver Sämtliche Signaturverfahren (CAdES, PAdES, XAdES) und Zeitstempel
Smardcards, HSM, PKCS#11, externe Signaturdienste (Hashverfahren)
Massensignatur, skalierbar in Abhängigkeit des Dokumentvolumens
Bedienerfreundliche Konfiguration über komfortable Benutzeroberfläche
Einfach in bestehende Netzwerk-Infrastrukturen integrierbar
Validierungsserver Detaillierte Signaturvalidierung und Zeitstempelprüfung mit sehr hohem Durchsatz (bis zu 17.000 Validierungen pro Stunde)
Prüfprotokoll als HTML, PDF/A oder XML gemäß OASIS DSS1.0
Integrierte Zertifikats- und Sperrlistenverwaltung
Sperrlistenserver Regelmäßiger Download von Sperrlisten via LDAP oder HTTP
Bereitstellung der Sperrlisten in der DMZ
13
© 2014 intarsys consulting GmbH
Sign Live! CC cloud suite
Smartcard-basierte Authentisierung und qualifizierte elektronische Signatur mit Java-Applets im Web-Browser
Komponenten Technologie mit, portal components, workflow components und management components
Zertifikatsimport, Signatur, PIN-Change, Authentisierung, Hashverfahren, Dokument Viewing, Verschlüsselung, Smartcard-Statusmonitor
14 S
ign
atu
r
Au
the
ntisie
run
g
© 2014 intarsys consulting GmbH
Sign Live! CC secure mail gateway
Zentrale E-Mail Sicherheit mittels Gateway-Server
Automatische Ver- und Entschlüsselung aller ein- und ausgehenden E-Mails inklusive der Anhänge
Flexibel und sehr detailliert definierbares Regelwerk zur E-Mail Filterung und Verarbeitungssteuerung
Integrierte Zertifikatsverwaltung mit Anbindung an SIGNTRUST CERT
15
E-Mail Server Secure E-Mail Gateway
Virenscanner Spamfilter
Arbeitsplatz
Trustcenter
Signierte und verschlüsselte E-Mail
Zusatzfunktionen (gegen Aufpreis):
• Signatur von E-Mail-Anhängen • Verifikation von E-Mail-Anhängen • XML-Adapter für Archivanbindung • Workflow für das Beantragen, Ausstellen und
Sperren von Zertifikaten mit SIGNTRUST CERT
Beispielarchitektur Secure E-Mail Gateway Lösung
© 2014 intarsys consulting GmbH
Sign Live! certificate manager
Sign Live! certificate manager ist eine „Trustcenter Software“ für die Zertifikatsverwaltung und die Erstellung von digitalen X.509 v3 - Zertifikaten
Als Standardsoftware für Unternehmen, um Benutzerzertifikate für externe Partner wie Lieferanten und Kunden, aber auch für interne Mitarbeiter zu erstellen. Diese Zertifikate können von den Benutzern u. a. in Webbrowsern, VPN-Clients und E-Mail-programmen verwendet werden
Die Zertifikatserstellung ist von der Antragstellung über die Ausstellung bis zur Sperrung abgebildet
Bietet Konnektoren zu externer CA (z.B. Signtrust, Swisscom, SwissSign, QuoVadis, etc.) und Schnittstellen zu Online Portalen
16
© 2014 intarsys consulting GmbH
Sign Live! certificate manager
17
identifizieren
authentisieren
SSL
CA Services
OCSP Responder
CRL Generation
Timestamp Service
Certificate Issuing
Portal Services
Access Control Manager
Administrator
beantragen
beziehen
sperren
Apache / Tomcat
Browser
importieren
exportieren
generieren
LDAP
synchronisieren
Certificate Management
Services
Certificate Manager
Certificate Monitor
QuoVadis
SwissSign
Swisscom
Signtrust
VISOCORE© Verify
Hardware
Security Modul
Keystore
Übermittlung
fortgeschrittenes
Benutzerzertifikat
Mail Gateway
(Sign Live! SMG)
Sig
n L
ive
! ce
rtif
ica
te m
an
ag
er
© 2014 intarsys consulting GmbH
Übersicht - Technische Merkmale
18
Betriebssysteme:
Windows 7 / XP / Vista / (8 ab Vers. 6.1) Windows 2008 Server 32/64 bit, 2003 Server Linux Ubuntu 10.04/12.04, Open SUSE 11.3, 12.1, SUSE Linux Enterprise Server 11, CentOS 5.5, 6 Mac OS X (ab 10.6 - 10.8) VM Ware, Citrix XenApp, Windows TS
Systemvoraussetzungen:
IBM-kompatibler PC ab Pentium 4 / 2 GHz ab 4/8 GB Arbeitsspeicher (RAM) Festplattenspeicher: mind. 200 MB für Basis-Installationspaket
Common PKI (ehem. ISIS-MTT):
Industrial Signature Interoperability and Mail trust Specification (nach SigG)
Signaturformate:
CAdES - PKCS#7 embedded (*.pk7), detached (*.p7s) PKCS#7 S/MIME multipart-signed (*.p7m) PAdES - PDF-Signatur als sichtbare, unsichtbare und Zertifizierungssignatur mit konfigurierbaren, grafischen Erscheinungsbild XML-Signatur (gemäß XML-DSig) XAdES - erweiterte XML-Signatur eANV-XML-Signatur gemäß BMU-Spezifikation
Zertifikatsformat:
X.509 v3, DER-codiert
Kartenkommunikationsprotokoll: T0, T1
Zeitstempelunterstützung:
gemäß IETF RFC 3161 Time-Stamp Protocol für Trustcenter in D-A-CH, wie beispielsweise : D-TRUST, Signtrust, TeleSec, Swisscom, SwissSign, QuoVadis
Unterstützte Mehrfach-Signaturkarten:
Bei der Nutzung von Sign Live! CC server muss eine Mehrfach-Signaturkarte eingesetzt werden, die das Erzeugen mehrerer Signaturen bei einmaliger PIN-Eingabe zulässt. Es werden die Signatur-karten gängiger Trustcenter /. CAs in D-A-CH unterstützt, wie z.B. D-TRUST, TeleSec, Signtrust, S-TRUST, DATEV, Bundesnotarkammer, medisign, dgnservice, QuoVadis, Swisscom, SwissSign, A-Trust
Unterstützte Signaturserver:
Signtrust NET, Secunet multisign, timeproof QSS
Durchsatz Signaturserver:
In Abhängigkeit der verwendeten Signaturkarten und anderer Rahmenbedingungen können mit einer Signaturkarte bis zu 19.000 Signaturen/h erreicht werden. Bei Verwendung von HSM‘s sind bis zu 70.000 Signaturen/h und mehr möglich. Die genaue Beschreibung der technisch unterstützten Kombinationen aus Betriebssystem, Kartenleser und Signaturkarten entnehmen Sie bitte der technischen Spezifikation.
Signaturalgorithmus:
ECC (Elliptic Curve Cryptosystem), RSA (Rivest-Shamir-Adlerman)
RSA-Hashalgorithmen:
SHA1, SHA-2 (-224, -256, -384, -512), RIPEMD160
Verschlüsselungsalgorithmen:
asymmetrisch: RSA symmetrisch: AES, Triple-DES
Schlüsselspeicherung:
Signaturkarten: ISO 7816 SmartCards Softwarezertifikate: PKCS#12 (*.pfx, *.p12) PKCS#11: Hardware Security Modules (HSM)
Kartenlesegeräte:
Sicherheitsklassen 1 bis 3 über PC/SC Unterstützung der Kartenleser ist vom verwendeten Betriebssystem abhängig. 19-Zoll-Kartenleser-Rack (7 oder 14 Karten) Definition von Signaturpools möglich
Signtrust NET:
ASP-Dienst der Deutschen Post Com für qualifizierte Signaturen / Zeitstempel
PKCS#11, Minidriver (CSP) und TokenD
PKCS#11-Konnektor z.B. für ELSTER, E-Mail-Verschlüsselung und Authentifizierung
intarsys consulting GmbH Kriegsstrasse 100, D-76133 Karlsruhe Geschäftsführer: Dr. Bernd Wild, Karl Kagermeier, Michael Traut Sitz: Karlsruhe, Amtsgericht Mannheim, HRB 107535 Internet: www.intarsys.de
Vielen Dank für Ihre Aufmerksamkeit
Markus Schuster Telefon: +49 38479 - 15 Mobile: +49 172 7260732 E-Mail: [email protected]